Autores
Hace algunos meses, a solicitud de una institución financiera, el Global Research and Analysis Team de Kaspersky Lab realizó una investigación forense sobre un ataque cibercriminal que afectaba a varios cajeros automáticos en Europa del Este.
Durante la investigación, descubrimos un programa malicioso que ayudaba a los atacantes a manipular de forma directa los cajeros automáticos para vaciar sus cartuchos de efectivo.
Cuando lo investigamos, el programa estaba activo en más de 50 cajeros automáticos de instituciones bancarias de Europa del Este.š ššLo que vimos al enviar los ejemplares a VirusTotal es que se había propagado hacia otros países, incluyendo Estados Unidos, India y China.
Debido a la naturaleza de los dispositivos en los que se ejecuta este programa, no tenemos datos de Kaspersky Security Network para determinar el alcance de la infección. Pero las estadísticas recolectadas por VirusTotal tienen registros del programa enviados desde los siguientes países:
Este nuevo programa, que Kaspersky Lab detecta como Backdoor.MSIL.Tyupkin, afecta a los cajeros automáticos de uno de los principales fabricantes que ejecutan Microsoft Windows 32-bit.
Tyupkin utiliza varias tácticas para mantenerse escurridizo y evitar que lo detecten. En primer lugar, sólo se activa en un momento específico de la noche. También utiliza una llave diferente que le entrega una fuente al azar en cada sesión. Sin ella, nadie puede interactuar con el cajero infectado.
Si la llave es la correcta, el programa muestra información sobre la cantidad de dinero guardada en cada cartucho y permite que un atacante con acceso físico al cajero retire 40 billetes del cartucho seleccionado.
La mayoría de las muestras que analizamos se compilaron en marzo de 2014. Pero el programa ha ido evolucionando con el tiempo. En su última variante (versión .d), implementa técnicas para evitar la depuración y la emulación y desactiva McAfee Solidcore del sistema infectado.
Análisis
Imágenes de las cámaras de seguridad de los cajeros automáticos mostraron que los atacantes pueden manipular el dispositivo e instalar el programa con un CD de arranque.
Los atacantes copiaron los siguientes archivos en el cajero:
%ALLUSERSPROFILE%Start MenuProgramsStartupAptraDebug.lnk
Después de revisar el entorno, el programa elimina el archivo .Ink y crea una llave en el registro:
Esto le permite interactuar con el cajero por medio de la biblioteca estándar MSXFS.dll — Extension for Financial Services (XFS).
El programa se mantiene en un bucle infinito esperando a que el usuario actúe. šPara que sea más difícil de detectar, Tyupkin acepta (de forma predeterminada) instrucciones sólo los domingos y lunes en la noche.
Acepta los siguientes comandos:
- XXXXXX – Muestra la ventana principal.
- XXXXXX – Se elimina a sí mismo con un archivo de proceso por lotes.
- XXXXXX – Aumenta el periodo de actividad del programa.
- XXXXXX – Oculta la ventana principal.
Después de cada instrucción, el operador debe presionar "Aceptar" en el teclado del cajero.
Tyupkin también usa llaves de sesión para prevenir la interacción con usuarios elegidos al azar. šDespués de que se ingresa el comando para mostrar la ventana principal, el programa muestra un mensaje en inglés que dice "¡INGRESE LA LLAVE DE SESIÓN PARA PROCEDER!", con una fuente aleatoria en cada sesión.
El operador malicioso debe conocer el algoritmo para generar una llave de sesión basada en la fuente que se muestra. šEl criminal debe ingresar la llave correcta para interactuar con el cajero infectado.
Al hacerlo, el programa muestra el siguiente mensaje:
PARA INICIAR LA OPERACIÓN DE EXPEDICIÓN –
INGRESE EL NÚMERO DE CARTUCHO Y PRESIONE ACEPTAR.
Cuando el operador selecciona el número de cartucho, el cajero expende 40 billetes de ese cartucho.
Si la llave de sesión que se ingresó es incorrecta, el programa desactiva la red local y muestra el mensaje:
POR FAVOR ESPERE…..
No sabemos por qué se desactiva la red local. Tal vez sea para demorar o perjudicar investigaciones remotas.
En el siguiente enlace puedes ver un vídeo con una demostración del ataque en un cajero automático real: http://youtu.be/QZvdPM_h2o8
Conclusión
Los últimos años hemos estado observado un gran aumento en los ataques a cajeros automáticos usando dispositivos para duplicar tarjetas y programas maliciosos. š Después de muchas denuncias de bancos de todo el mundo, se ha arrestado a los cibercriminales que duplican tarjetas.
Estos atacantes tuvieron éxito al robar los datos de las tarjetas de crédito cuando los clientes utilizan sus tarjetas en los cajeros automáticos de bancos y gasolineras, lo que aumentó el estado de alerta del público, que comenzó a tomar más precauciones al usar cajeros automáticos públicos.
Ahora estamos viendo la evolución natural de esta amenaza: los cibercriminales están subiendo la apuesta y atacando a las instituciones financieras de forma directa. š Lo hacen infectando los cajeros de forma directa o lanzando amenazas persistentes avanzadas contra el banco. š El programa Tyupkin es un ejemplo de cómo los atacantes están aprovechando las debilidades en la infraestructura de los cajeros automáticos para llevar sus ataques a otro nivel.
El hecho de que muchos cajeros utilicen sistemas operativos con debilidades de seguridad conocidas y la ausencia de soluciones de seguridad son problemas mayores que deben abordarse con urgencia.
Recomendamos a los bancos que revisen la seguridad física de sus cajeros e inviertan en soluciones de seguridad de calidad.
Recomendaciones para mitigar los ataques
Recomendamos que las instituciones y compañías financieras que operen con cajeros automáticos en sus instalaciones consideren instaurar las siguientes guías de mitigación:
- Revisar la seguridad física de sus cajeros e invertir en soluciones de seguridad de calidad.
- Cambiar el candado superior y las llaves predeterminadas de todos los cajeros. Evitar usar las llaves maestras que entrega el fabricante.
- Instalar y asegurase de que la alarma de seguridad del cajero automático funcione. Se observó que los cibercriminales de Tyupkin infectaron sólo los cajeros automáticos que no tenían instalada ninguna alarma de seguridad.
- Puedes enviarnos un mensaje a intelreports@kaspersky.com si quieres recibir instrucciones para verificar en un sólo paso si tus cajeros automáticos están infectados. Para realizar un análisis completo del sistema del cajero automático y eliminar la puerta trasera, por favor utiliza la herramienta Kaspersky Virus Removal Tool (puedes descargarla aquí).
Consejos generales para los operadores de cajeros automáticos dentro de sus instalaciones
- Asegúrate de que el cajero se encuentra en un lugar abierto, bien iluminado y vigilado por cámaras de seguridad visibles. El cajero debe estar asegurado al suelo de una forma segura con un dispositivo anti-lazos que detenga a los criminales.
- Revisa el cajero con regularidad para asegurarte de que no se haya anexado ningún dispositivo externo (como lectores de tarjetas).
- Mantén los ojos abiertos para detectar ataques de ingeniería social de criminales que se hacen pasar por inspectores de alarmas de seguridad, cámaras de seguridad u otros dispositivos en las instalaciones.
- Toma en serio las alarmas de seguridad y responde notificando a las autoridades ante cualquier posible amenaza.
- Considera la posibilidad de llenar el cajero automático con sólo la cantidad de efectivo suficiente para un día de actividad.
- El siguiente enlace contiene más consejos para compañías y usuarios: http://www.link.co.uk/AboutLINK/site-owners/Pages/Security-for-ATMs.aspx.
Autores
De los mismos autores
En la misma categoría
Tyupkin: Un programa malicioso que manipula cajeros automáticos